Как хакеры используют против нас наш мозг и как этому помешать

Неверно интерпретировать информацию и делать ложные и нерациональные выводы заставляют нас когнитивные предубеждения, которые возникают под воздействием так называемого «рептильного мозга», отвечающего за инстинкты.

Осознать наличие этих предубеждений — первый шаг к победе над ними. Но для начала нужно понять самые значительные из них.

Непринятие потерь (Urgency aversion)

Идея простая: боль от потери превосходит радость от приобретения. Дайте человеку $100 и предложите бросить монетку, чтобы у него была равная вероятность удвоить эту сумму или потерять ее. Вероятно, он откажется — потеря $100 является уж слишком болезненной.

Как результат, говорит Клеотильда «Коти» Гонсалес, профессор теории решений в Университете Карнеги-Меллона, «если подать что-то как потерю, мы готовы пойти на риск, чтобы ее избежать; если подать это как приобретение, мы предпочитаем выбрать безопасный путь».

Гонсалес говорит, что мошенники используют это предубеждение для фишинга. Если вам пришло электронное письмо, предупреждающее об отключении сигнализации за неуплату ежемесячного взноса, вы можете перейти по ссылке, чтобы избежать этого. Если же письмо предлагает снизить ваш ежемесячный взнос, вы скорее его проигнорируете.

Или мошенник может прислать на вашу рабочую электронную почту сообщение с предупреждением, что проблема с учетной записью одного из корпоративных поставщиков повлечет задержку отправления, на которое рассчитывает ваш руководитель. Чтобы избежать этого, вам предложат подтвердить свои данные по указанной ссылке. Ссылка ведет на сайт, который кажется настоящим, но принадлежит мошенникам. И вот — сыграв на вашем страхе воры выманили ваши персональные данные.

Читайте также: Александр Карпов: Если сами отдали мошеннику реквизиты карты, деньги никто не вернет

Эффект авторитета (Authority bias)

Мы склонны доверять признанным авторитетам. Когда мы получаем письмо от надежного источника, мы теряем придирчивость. И хакерам это известно.

«Примером этого предубеждения является „Business Email Compromise“ (BEC)», — говорит Кевин Хейли, директор Symantec, подразделения Broadcom Inc. Этот метод использует электронные письма, которые якобы отправлены от авторитетного лица и содержат правдоподобные просьбы.

Читайте также: Социальная инженерия и интернет: мошенники обогатились на 271 миллион

Например, вы получаете электронное письмо от руководителя с просьбой отправить текущий платеж на новый номер банковского счета. Поскольку вы считаете, что уже видели этот адрес электронной почты, и ваша задача — выполнить просьбу руководства, вы можете сделать то, что от вас просят. Вы не заметили, что этот электронный адрес несколько отличается от настоящего. Или хуже, добавляет мистер Хейли, «более матерые злоумышленники выманят настоящий адрес у вашего босса».

По данным ФБР, такие BEC-атаки за прошлый год привели к около $1,8 млрд убытков.

Читайте также: Интернет-мошенничество растет. С начала года в черный список попало 27 фишинговых и 22 мошеннических сайтов

Эффект срочности (Urgency bias)

Мы все склонны приоритезировать неотложные дела. Но ощущение неотложности может сделать нас менее внимательными.

«Если ваш босс обращается непосредственно к вам и говорит, что что-то должно быть сделано быстро, вы сразу броситесь это делать. Вы не будете обращать внимание на какие-то маленькие неточности в электронном адресе, потому что слишком заняты задачей от босса. Это безупречная социальная инженерия», — говорит мистер Хейли.

По словам Аланы Маурушат, профессора кибербезопасности и поведения в Университете Западного Сиднея, эмоции придают ощущение срочности. Если в письме от якобы-руководителя речь идет о возмущенном контрагенте, ваша тревога растет.

«Чем больше эмоций может вызвать злоумышленник, тем вероятнее, что жертва начнет ему подыгрывать. Когда в игру вступают эмоции, человеческое поведение кардинально меняется», — говорит она.

Читайте также: В 2020 году количество выявленных фишинговых сайтов стало рекордным за 10 лет

Гало-эффект (Halo effect)

Мы доверяем брендам и организациям, которые нам нравятся, и злоумышленники могут этим воспользоваться. Если вам придет приглашение в элитный клуб или на известную конференцию, вероятно, что вы перейдете по ссылке и заполните анкету, возможно предоставив много информации о себе или вашей компании. Тем более, когда это приглашение отправлено организацией, которой вы увлекаетесь.

Род Симмонс, вице-президент по продуктовой стратегии Omada, приводит другой пример: мошенник, выдающий себя за представителя финучреждения, где у вас открыт счет, сообщает, что обнаружил подозрительную активность с вашей карты. Он просит вас пройти по ссылке и подтвердить ваши последние переводы. Поскольку у вас положительный опыт работы с финучреждением и вы доверяете ему, то не будете ставить под сомнение подлинность письма, а перейдете по ссылке и пришлете данные.

Читайте также: Интерпол по всему миру заморозил более 1600 банковских счетов кибермошенников

Предубеждение мгновенной выгоды (Present Bias)

Ценить маленькие, немедленные выгоды больше чем крупные и отложенные во времени — вполне естественно.

«Люди заботятся о себе нынешних больше, чем о себе будущих», — описывает это мисс Шортбридж.

Представьте, говорит она, что сейчас — последняя неделя квартала и есть команда, которой почти удалось привлечь большого нового клиента. Если руководителю отдела продаж придет письмо, связанное с соглашением, он предпочтет закрытие сделки сейчас, а не возможную утечку данных в будущем. Особенно, учитывая, что утечка выглядит маловероятной. В конце концов, отдел продаж получает много писем и большинство из них вполне безопасны.

Читайте также: 57% украинцев не знают, как защитить свои платежные данные и избежать мошенничества в интернете

Эвристика доступности (Availability bias)

Мы склонны принимать решения, опираясь на наш самый свежий опыт. Если мы никогда не сталкивались с каким-то мошенническим методом, мы вряд ли его распознаем.

По словам Патрика Мюррея, директора по развитию продукта в Tugboat Logic, у злоумышленников больше шансов на успех, если они применяют новейшие методы социальной инженерии, неизвестные сотрудникам конкретной компании.

Вероятно, работники обучены замечать типичные фишинговые схемы, которые осуществляются через электронную почту. Другое дело, когда им звонят «сотрудники из отдела IT-поддержки», чтобы обратить внимание на какую-то проблему. Мошенники могут вытянуть из жертвы всю необходимую информацию и получить доступ ко всей базе или системе компании.

Читайте также: Коронавирусные «трюки» от карточных мошенников

Предвзятость оптимизма (Optimism bias)

Люди склонны считать, что проблемы случаются с другими и вряд ли коснутся их самих.

«Есть поговорка, что люди делятся на два типа: те, кого сломали, и они об этом знают, а есть те, кого взломали, и они об этом не знают», — говорит Мюррей.

По словам доктора Маурушат, киберпреступники рекомендуют новичкам ориентироваться на мужчин за 40. Эту категорию выбрали «потому что они думают, что именно их никогда не обманут», говорит профессор.

Читайте также: Плати, или заразим коронавирусом: как мошенники выманивают деньги у украинцев

Как победить «мозг рептилии»

Избавиться от этих предубеждений — дело нелегкое, ведь они прочно встроены в человеческое мышление. Но эксперты по кибербезопасности говорят, что помочь может тренировка, особенно в игровой форме, когда потенциальные мишени должны отреагировать на реалистические атаки.

Эффекты предубеждений можно нейтрализовать с помощью технологий: многофакторная идентификация, менеджеры паролей, изменение каналов коммуникации при возникновении подозрения.

Но самые эффективные решения — те, которые не полагаются на технологии и работают в долгосрочной перспективе.

Одно из них — научиться не спешить, когда скорость не является критической.

Еще один путь — строить корпоративную культуру, которая поощряет правильную реакцию на атаки. Например, докладывать о подозрительной активности и тщательно проверять запросы, которые кажутся подозрительными.

Читайте также: Александр Гринчак об аферах с «криптой»: «Мы в этой ситуации бессильны»